拥有数百万下载量的Android应用容易受到严重攻击

2020-12-04 22:19:22

拥有数亿下载量的Android应用很容易受到攻击,这些攻击使恶意应用可以窃取联系人,登录凭据,私人消息和其他敏感信息。安全公司Check Point表示,受影响的包括Edge浏览器,XRecorder视频和屏幕录像机以及PowerDirector视频编辑器。

该漏洞实际上位于Google Play核心库中,该库是Google编写的代码的集合。该库使应用程序可以简化更新过程,例如,在运行时接收新版本并根据单个应用程序的特定配置或运行该应用程序的特定手机型号定制更新。

8月,安全公司Oversecured披露了Google Play核心库中的一个安全漏洞,该漏洞允许一个已安装的应用程序在依赖漏洞库版本的任何其他应用程序的上下文中执行代码。

该漏洞源于目录遍历漏洞,该漏洞使不受信任的来源可以将文件复制到应该仅保留给从Google Play接收的受信任代码的文件夹中。该漏洞破坏了Android操作系统内置的核心保护,阻止了一个应用访问属于任何其他应用的数据或代码。

Google在4月修补了库错误,但要修复易受攻击的应用程序,开发人员必须先下载更新的库,然后将其合并到他们的应用程序代码中。根据Check Point的研究结果,大量开发人员继续使用易受攻击的库版本。

当我们结合使用Google Play Core库的流行应用程序和Local-Code-Execution漏洞时,我们可以清楚地看到风险。如果恶意应用程序利用此漏洞,则可以在流行的应用程序内执行代码,并且具有与易受攻击的应用程序相同的访问权限。

向银行应用程序中注入代码以获取凭据,同时具有SMS权限以窃取两因素身份验证(2FA)代码。

将代码注入社交媒体应用程序以监视受害者,并使用位置访问来跟踪设备。

向IM应用程序中注入代码以获取所有消息,并可能代表受害者发送消息。

为了演示该漏洞,Check Point使用概念验证恶意应用从旧版Chrome窃取了身份验证Cookie。拥有Cookie后,攻击者便能够未经授权地访问受害者的Dropbox帐户。

Check Point确定了14个应用程序,这些应用程序的总下载量接近8.5亿,仍然很脆弱。在发布报告的几个小时内,这家安全公司表示,其中一些命名应用程序的开发人员已经发布了修复此漏洞的更新。

Check Point确定的应用程序包括Edge,XRecorder和PowerDirector,它们的安装量总计为1.6亿。 Check Point没有提供任何迹象表明这些应用程序已修复。 Ars要求所有三个应用程序的开发人员对该报告发表评论。如果他们回复,此帖子将被更新。